Avec toute la paranoïa qui a accompagné les révélations de la NSA, je me demande pourquoi le mécanisme d'installation du paquet Debian ne prend pas en charge HTTPS pour son transport, et encore moins en utilise-t-il un par défaut.
Je sais que les packages Debian ont une sorte de validation de signature à l'aide de GPG, mais je ne pense pas que l'utilisation du transport HTTPS au lieu de HTTP soit trop difficile, compte tenu de l'importance cruciale de la sécurité.
Edit :Je veux surtout me protéger des attaques MitM (y compris le reniflage de trafic), pas des administrateurs de miroirs Debian. Les référentiels HTTP mettent l'ensemble du système configuré sur la table pour quiconque espionne le trafic vers les miroirs Debian.
Réponse acceptée :
Il y a. Vous devez installer le package apt-transport-https . Ensuite, vous pouvez utiliser des lignes telles que
deb https://some.server.com/debian stable main
dans votre sources.list dossier. Mais généralement, ce n'est pas nécessaire, car l'intégralité du contenu est de toute façon publique et cela ajoute une surcharge de chiffrement et une latence. Puisque vous ne faites pas confiance à la clé publique d'un attaquant, même le trafic http est à l'abri des attaques MitM. apt vous avertira et ne parviendra pas à installer les packages lorsqu'un attaquant injecte des packages manipulés.
EDIT :Comme mentionné dans les commentaires, il est en effet plus sûr d'utiliser le référentiel TLS. La recherche montre que l'utilisation d'apt sur des référentiels non chiffrés peut en effet poser un risque de sécurité car le transport HTTP est vulnérable aux attaques par relecture.